觀光產業類非公務機關個人資料檔案安全維護管理辦法

立法總說明

《交通部指定觀光產業類非公務機關個人資料檔案安全維護計畫及處理辦法總說明（111.04.01 訂定）》 個人資料保護法（以下簡稱本法）第二十七條第一項規定，非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏；同條第二項及第三項規定，中央目的事業主管機關得指定非公務機關，訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法，其相關事項之辦法（以下簡稱安維辦法），由中央目的事業主管機關定之。爰交通部業依據本法第二十七條第三項規定，訂有觀光旅館業個人資料檔案安全維護計畫辦法、旅行業個人資料檔案安全維護計畫及處理辦法及觀光遊樂業個人資料檔案安全維護計畫及處理辦法。 為配合行政院一百十年八月十一日訂定發布行政院及所屬各機關落實個人資料保護聯繫作業要點有關強化個人資料安全強化措施規定，及行政院一百十年九月二日行政機關落實個人資料保護聯繫會議（第三次會議）要求增訂旅館業及民宿安維辦法，考量個人資料保護管理措施具有共通性，並參酌各部會做法及交通部主管各安維辦法名稱之一致性，訂定交通部指定觀光產業類非公務機關個人資料檔案安全維護計畫及處理辦法（以下簡稱本辦法）供觀光產業一體適用，另為避免適用法規扞格，並同步廢止觀光旅館業個人資料檔案安全維護計畫辦法、旅行業個人資料檔案安全維護計畫及處理辦法及觀光遊樂業個人資料檔案安全維護計畫及處理辦法。 本辦法重點如下： 一、本辦法訂定依據、主管機關、適用對象及名詞定義。（第一條至第三條） 二、有訂定計畫及處理方法義務之非公務機關保有消費者個人資料筆數門檻及訂定內容與時限。（第四條、第五條） 三、非公務機關配置適當管理人員落實執行計畫及處理方法等事項。（第六條） 四、保有個人資料特定目的之界定及個人資料檔案現況之盤點、業務流程之風險分析與管控，及相關侵害事故之應變等事項。（第七條至第九條） 五、非公務機關所屬人員為執行業務蒐集個人資料之規範、非公務機關所蒐集持有及應遵守告知義務等事項。（第十條及第十一條） 六、非公務機關國際傳輸個人資料時應遵循事項。（第十二條） 七、非公務機關對於當事人行使本法第三條規定權利時應採取之措施。（第十三條）八、非公務機關對所保管之個人資料檔案所應採取之必要適當防護設施，及對所屬人員之管理措施。（第十四條及第十五條） 九、非公務機關使用資通訊系統蒐集、處理或利用個人資料時應採取之資通訊安全措施。（第十六條） 十、非公務機關對所屬人員進行教育宣導規定。（第十七條） 十一、計畫及處理方法之稽核、使用紀錄留存及檢討改善事項。（第十八條至第二十條） 十二、非公務機關委託他人蒐集、處理或利用個人資料時，應對受託者為適當之監督。（第二十一條） 十三、非公務機關業務終止後所保有個人資料之處理方式。（第二十二條） 十四、本辦法施行日期。（第二十三條）